導(dǎo)語：安全增強(qiáng)RSA可驗(yàn)分析論文一文來源于網(wǎng)友上傳，不代表本站觀點(diǎn)，若需要原創(chuàng)文章可咨詢客服老師，歡迎參考。

摘要本文提出一種驗(yàn)證功能完善、安全性更高的門限RSA簽名方案。該門限簽名方案利用有理數(shù)域上的插值公式,Shamir秘密共享方案以及改進(jìn)的門限RSA簽名方案等理論,解決了在中對元素求逆和代數(shù)結(jié)構(gòu)擴(kuò)張的問題以及共享服務(wù)器合謀的問題。

關(guān)鍵詞門限密碼體制,門限簽名,RSA算法,門限RSA簽名方案

1引言

門限簽名是門限密碼學(xué)的主要研究內(nèi)容之一,最初由Desmedt和Frankel等人引進(jìn)的,并基于ElGamal密碼方案建立了第一個(gè)(t,n)門限密碼體制。在(t,n)門限簽名方案中,n個(gè)成員共享群體的簽名密鑰,使得任何不少于t個(gè)成員的子集可以代表群體產(chǎn)生簽名,而任何少于t個(gè)成員的子集則不能產(chǎn)生簽名。門限簽名方案的基本假設(shè)是:在系統(tǒng)生命周期中,至少有(t-1)個(gè)非誠實(shí)成員。由于RSA算法滿足構(gòu)成門限密碼體制的同態(tài)性要求,并且在CA中被廣泛使用,所以這里選擇基于RSA的門限簽名方案。

但是對于RSA密碼系統(tǒng),情況要復(fù)雜一些。首先剩余環(huán)不是域,其中的元素未必都可逆,于是不能利用一般的秘密共享方法共享簽名密鑰d;其次,為了保護(hù)RSA模數(shù)N的因子分解,不能讓參與簽名的成員知道,因此給在上建立秘密共享方案和建立門限簽名方案都帶來了困難。另外一個(gè)需要解決的問題是由于采用Shamir秘密共享方案共享簽名私鑰,任意t個(gè)或更多個(gè)成員共享的密鑰就是簽名私鑰,所以他們合謀可以恢復(fù)出秘密密鑰,從而假冒系統(tǒng)生成有效的群簽名。這些問題都是我們在設(shè)計(jì)門限簽名方案時(shí)應(yīng)該考慮的。

本文以基于有理數(shù)域上插值公式的Shamir的秘密共享方案為基礎(chǔ),將改進(jìn)的門限RSA簽名體制、兩方共享與(t,n)門限方案相結(jié)合,提出了一個(gè)需要可信任中心的安全性增強(qiáng)的基于門限rsa簽名方案。利用由hash函數(shù)建立的特殊形式的RSA簽名體制,很好解決了在中對元素求逆和代數(shù)結(jié)構(gòu)擴(kuò)張的問題,為實(shí)現(xiàn)帶來了方便。同時(shí)在簽名過程中對分發(fā)的子密鑰、部分簽名以及簽名都進(jìn)行了驗(yàn)證,保證子密鑰和簽名的正確性;保證在簽名過程中不會被敵人入侵和欺詐,同時(shí)也防止了共享服務(wù)器合謀的危險(xiǎn)。因此是一個(gè)安全性更高的門限簽名方案。

2門限秘密共享方案分析

通過前面的分析我們知道門限秘密共享方案是構(gòu)成門限簽名方案的基礎(chǔ)?，F(xiàn)有的許多門限簽名方案采用的是ITTC項(xiàng)目中的方案,采用隨機(jī)和的拆分方法,也就是將秘密密鑰d按多種(t,t)共享方案分割,每種分割稱為一種聯(lián)合,每種聯(lián)合含有t份子密鑰,這t份子密鑰分別存儲在n個(gè)服務(wù)器中的t個(gè)不同共享服務(wù)器上,不同的子密鑰聯(lián)合對應(yīng)不同的t個(gè)共享服務(wù)器組合。這種方案具有方法簡單,運(yùn)算效率高的特點(diǎn),但是它的子密鑰分發(fā)和管理都比較困難。它需要客戶機(jī)或是組合者指定共享服務(wù)器而不具有任意性,對于客戶機(jī)的要求很高,實(shí)現(xiàn)起來比較困難。

本文采用有理數(shù)域上的插值公式和經(jīng)典的Shamir(t,n)秘密共享方案作為構(gòu)造門限簽名方案的理論基礎(chǔ)。這是因?yàn)镾hamir門限體制具有以下特點(diǎn):

(1)增加新的子密鑰不用改變已有的子密鑰。在參與者P1,P2,…,Pn中成員總數(shù)不超過q的條件下可以增加新的成員而不用重新撤銷以前分發(fā)的子密鑰。當(dāng)系統(tǒng)需要增加共享服務(wù)器時(shí),我們只需要對新增加的服務(wù)器分發(fā)新的子密鑰,而不需要將已經(jīng)分發(fā)的子密鑰一起替換掉,這樣可以減少系統(tǒng)的工作,提高系統(tǒng)效率。

(2)可以通過選用常數(shù)項(xiàng)不變的另一(t-1)次新的多項(xiàng)式,將某個(gè)成員的子密鑰作廢。當(dāng)某個(gè)共享服務(wù)器被攻破時(shí),需要作廢它的子密鑰,我們可以采用這種方法。

(3)組合者可以任意選擇共享服務(wù)器的子密鑰進(jìn)行密鑰恢復(fù)而不需要指定它們。這是我們選擇Shamir(t,n)秘密共享方案的一個(gè)重要原因。當(dāng)共享服務(wù)器完成部分簽名后組合者Combiner可以在n個(gè)服務(wù)器中任意選擇t個(gè)進(jìn)行最后的組合,而不需要去指定由某些服務(wù)器的部分簽名構(gòu)成最后的簽名。

這里我們給出這樣一個(gè)假設(shè):任意t個(gè)共享組件所構(gòu)成的信息與n個(gè)共享組件所構(gòu)成的信息應(yīng)該是完全等價(jià)的。在此基礎(chǔ)上給出本文的基于RSA門限簽名方案。

3基于RSA門限簽名方案設(shè)計(jì)

3.1密鑰初始化

定義5-1可信任中心A(Administrator)指將簽名私鑰分給n個(gè)秘密共享者的組件?？尚湃伟岛薃一定能確保秘密信息不會被泄漏,并且在執(zhí)行完密鑰的分發(fā)后將簽名私鑰和其它信息一起銷毀。

(1)假設(shè)可信任中心A選擇好RSA模數(shù)N,公鑰e和私鑰d以及,使得。其中,模數(shù)N為兩個(gè)安全大素?cái)?shù)p,q的乘積。

(2)取定一個(gè)固定的正整數(shù)k及值域包含于(指中最高兩個(gè)比特為0的數(shù)構(gòu)成的集合)的適當(dāng)?shù)膆ash函數(shù)h(如MD5),H由得到,由于對N的分解是困難的,所以H(m)是強(qiáng)無碰撞的、單向的函數(shù)。

(3)d1為隨機(jī)數(shù),,現(xiàn)在可信任中心A欲將d2分發(fā)給n個(gè)共享服務(wù)器ShareServeri,將d1發(fā)給密鑰服務(wù)器K。這里簽名私鑰d由d1和d2組成,各共享服務(wù)器共享私鑰d2。

3.2子密鑰的生成與驗(yàn)證

可信任中心A按如下步驟將簽名密鑰d2分發(fā)給n個(gè)共享服務(wù)器ShareServeri。

(1)A隨機(jī)選取多項(xiàng)式使f(0)=a0=d2,計(jì)算下式:

其中g(shù)是可信任中心A隨機(jī)選取的信息樣本。

A將d2i秘密地發(fā)送給ShareServeri,而將N,n,e,h公開,將所有的g,ci,yi廣播給各ShareServeri,p,q不再使用將其銷毀。

(2)各共享服務(wù)器ShareServeri(i=1,2,…,n)收到可信任中心A發(fā)送來的子密鑰d2i后,利用已廣播的公開信息驗(yàn)證子密鑰d2i的正確性,方法如下:

①每個(gè)共享服務(wù)器ShareServeri判斷下面的式子是否成立:

②由于(5-4)式是所有共享服務(wù)器都收到的,因此方案中任何的組件都可以驗(yàn)證,故稱為公開驗(yàn)證部分;式(5-5)由每個(gè)共享服務(wù)器自己驗(yàn)證,故稱為秘密驗(yàn)證部分。對于ShareServeri來說,秘密驗(yàn)證就是用自己的子密鑰d2i和收到的g計(jì)算yi并與從可信中心A發(fā)送的yi比較是否一致來判斷d2i的正確性。

③公開驗(yàn)證的正確性說明如下:

當(dāng)公開驗(yàn)證和秘密驗(yàn)證中有一個(gè)不成立就認(rèn)為驗(yàn)證失敗,ShareServeri宣布可信任中心A發(fā)放的子密鑰是錯(cuò)誤的,于是可信任中心A被認(rèn)為是不合格的,協(xié)議至此中止?？尚湃沃行腁將重新選擇N和密鑰對(d,e)重復(fù)上面的步驟發(fā)放新的密鑰,否則可信任中心A分發(fā)密鑰成功,可以進(jìn)行下面步驟。這時(shí)可信任中心A銷毀所分發(fā)的密鑰,以防止密鑰泄露。

3.3部分簽名的生成與驗(yàn)證

首先密鑰服務(wù)器K利用密鑰d1對消息m的hash函數(shù)值進(jìn)行簽名。然后各共享服務(wù)器ShareServeri利用自己的子密鑰d2i對消息m的摘要進(jìn)行簽名,如下所示并廣播其部分簽名:

共享服務(wù)器ShareServeri生成對消息m的部分簽名后,本文借助交互驗(yàn)證協(xié)議來驗(yàn)證ShareServeri的部分簽名是否正確。在交互驗(yàn)證協(xié)議中可以由任何一方來驗(yàn)證部分簽名的正確性,這里為了方便后面系統(tǒng)設(shè)計(jì)故規(guī)定共享服務(wù)器ShareServeri的部分簽名是由ShareServeri+1來驗(yàn)證。若協(xié)議成功,則ShareServeri+1確信ShareServeri的部分簽名S2i是正確的;否則S2i是不正確的。方法如下:

(1)ShareServeri+1任意選取a,b∈R[1,N],計(jì)算出并將R發(fā)送給ShareServeri;

(2)ShareServeri收到R后,計(jì)算出并將發(fā)送給ShareServeri+1;

(3)ShareServeri+1收到后,根據(jù)下式是否成立來判斷S2i是否為ShareServeri之部分簽名;

下面我們來說明協(xié)議的安全性,假設(shè)N為兩個(gè)安全素?cái)?shù)p,q之積。若非誠實(shí)驗(yàn)證者P不能攻破RSA系統(tǒng),則上述驗(yàn)證RSA部分簽名的交互式協(xié)議滿足以下性質(zhì):

(1)完備性若P,ShareServeri都是誠實(shí)的,則ShareServeri總是接受P的證明。

(2)合理性非誠實(shí)證明者P使ShareServeri接受不正確部分簽名的成功率是可忽略的。

(3)零知識性非誠實(shí)驗(yàn)證者除了能知道部分簽名是正確外,不能獲得其他任何信息。

因此由這樣的交互式協(xié)議驗(yàn)證為正確的部分簽名基本可以認(rèn)為是正確的。

3.4簽名的生成與驗(yàn)證

若已有t個(gè)部分簽名通過正確性驗(yàn)證,則由Combiner(組合服務(wù)器)可以計(jì)算出共享服務(wù)器對消息m的門限RSA簽名S。

(1)Combiner將xi(i=1,2,…,t)看作整數(shù)環(huán)Z上的元素,在整數(shù)環(huán)Z上計(jì)算。

(2)各共享服務(wù)器的門限簽名S2的計(jì)算公式如下:

最后系統(tǒng)的簽名為。

(3)接著Combiner利用公開密鑰e,按下式來驗(yàn)證門限簽名(m,S)的正確性,若成立則接受S為m的合法簽名。

3.5簽名算法

這里給出了門限簽名方案的實(shí)現(xiàn)算法,其中需要運(yùn)用java.io.*;java.security.*;java.math.*;javax.crypto.*;javax.crypto.spec.*;java.security.spec.*;java.security.interfaces.*;java.util.*;javax.crypto.interfaces.*等系統(tǒng)提供的類和方法。

(1)RSA簽名私鑰生成算法:

publicclassRSA{

KeyPairGeneratorkpg=KeyPairGenerator.getInstance("RSA");

kpg.initialize(1024);

KeyPairkp=kpg.genKeyPair();

PublicKeypbkey=kp.getPublic();

PrivateKeyprkey=kp.getPrivate();

//保存RSA公鑰

FileOutputStreamf1=newFileOutputStream("skey_RSA_pub.dat");

ObjectOutputStreamb1=newObjectOutputStream(f1);

b1.writeObject(pbkey);

//保存RSA私鑰

FileOutputStreamf2=newFileOutputStream("skey_RSA_priv.dat");

ObjectOutputStreamb2=newObjectOutputStream(f2);

b2.writeObject(prkey);

}

(2)子密鑰生成算法:

publicclassshareRSA{//讀取私鑰d及RSA參數(shù)

FileInputStreamf=newFileInputStream("skey_RSA_priv.dat");

ObjectInputStreamb=newObjectInputStream(f);

RSAPrivateKeyprk=(RSAPrivateKey)b.readObject();

BigIntegerd=prk.getPrivateExponent();

BigIntegern=prk.getModulus();

byte[]x=newbyte[16];

Randomd1=newRandom();

d1.nextBytes(x);

BigIntegerc=newBigInteger(x);

BigIntegerm=c.mod(n);

BigIntegerd2=d.subtract(m);

//保存秘密密鑰d1

FileOutputStreamf1=newFileOutputStream("partkey1_RSA.dat");

ObjectOutputStreamb1=newObjectOutputStream(f1);

b1.writeObject(d1);

//保存秘密密鑰d2

FileOutputStreamf2=newFileOutputStream("partkey2_RSA.dat");

ObjectOutputStreamb2=newObjectOutputStream(f2);

b2.writeObject(d2);

}

然后根據(jù)實(shí)際選擇的t和n值進(jìn)行多項(xiàng)式的選擇,以d2作為多項(xiàng)式的a0,計(jì)算n個(gè)子密鑰分發(fā)給共享服務(wù)器。

(3)各共享服務(wù)器用子密鑰進(jìn)行數(shù)字簽名算法:

publicclasssignature{//獲取要簽名的數(shù)據(jù)存放在data數(shù)組

FileInputStreamf=newFileInputStream("msg.dat");

intnum=f.available();

byte[]data=newbyte[num];

f.read(data);

//獲取私鑰

FileInputStreamf1=newFileInputStream("partkey2i_RSA_priv.dat");

ObjectInputStreamb=newObjectInputStream(f1);

RSAPrivateKeyprk=(RSAPrivateKey)b.readObject();

//數(shù)字簽名

Signaturesig=Signature.getInstance("MD5WithRSA");

sig.initSign(prk);

sig.update(data);

byte[]signature=sig.Sign();

for(inti=0;i<data.length;i++){

System.out.println(signature[i]+",");}

}

4結(jié)束語

本章給出了安全增強(qiáng)的基于RSA可驗(yàn)證門限簽名方案的全過程,解決了中對元素求逆和代數(shù)結(jié)構(gòu)擴(kuò)張的問題,防止了共享服務(wù)器合謀的威脅。我們可以看到它是更安全可靠的,而且原理也很簡單。利用這個(gè)方案我們可以將CA簽名私鑰分發(fā)到各個(gè)共享服務(wù)器中,通過共享服務(wù)器對用戶申請的公鑰證書信息進(jìn)行部分簽名,然后由組合服務(wù)器得到最后的公鑰證書,從而保證公鑰證書的安全可靠,同時(shí)也不會使系統(tǒng)變得復(fù)雜而難以實(shí)現(xiàn)。

參考文獻(xiàn)

[1]SantisAD,DesmedtY,FrankelYetal.Howtoshareafunctionsecurely.In:Proceedingsofthe26thACMSymponTheoryofComputing.IEEE,1994.522-533

[2]D.Boneh,M.Franklin,”EfficientgenerationofsharedRSAkeys”,inProceedingsCrypto’97,425~439

[3]DesmedtY,FrankelY.Thresholdcryptosystems.In:BrassardGed.AdvancesinCryptology

——CRYPTO''''89Proceedings.LectureNotesinComputerScience435.Berlin:SpringerVerlag,1990.307~315

[4]N.Alon,Z.GalilandM.Yung,”Dynamic-resharingverfiablesecretsharing”,ESA1995

[5]T.P.Pedersen.Distributedproverswithapplicationstoundeniablesignatures.InD.Davieseditor,ProceedingsofEurocryp’91,LectureinComputerScienceNo.547,pages522~526,Springer

-Verlag,1991.

[6]GennaroR,JareckiS,KrawczykHetal.RobustandefficientsharingofRSAfunctions.In:KoblitzNed.AdvancesinCryptology——CRYPTO''''96Proceedings.LectureNotesinComputerScience1109.Berlin:SpringerVerlag,1996,157~172

[7]BoydC.DigitalMultisignatures.InH.BekerandF.Riper,editors,Cryptographyandcoding,clarendonpress,1989,241~246